תאריך פרסום: 7 באוגוסט 2023
עדכון האבטחה של Wear OS מכיל פרטים על נקודות חולשה באבטחה שמשפיעות על פלטפורמת Wear OS. העדכון המלא של Wear OS כולל את תיקון האבטחה ברמה 05 באוגוסט 2023 ואילך מעדכון האבטחה של Android באוגוסט 2023, בנוסף לכל הבעיות שמפורטות בעדכון הזה.
אנחנו ממליצים לכל הלקוחות לאשר את העדכונים האלה במכשירים שלהם.
הבעיה החמורה ביותר היא נקודת חולשה חמורה באבטחה ברכיב Framework, שעלולה להוביל להסלמת הרשאות (privilege escalation) ברמה המקומית ללא צורך בהרשאות הפעלה נוספות. לא נדרשת אינטראקציה של משתמש כדי לנצל את החולשה. הערכת החומרה מבוססת על ההשפעה האפשרית של ניצול נקודת החולשה על המכשיר המושפע, בהנחה שההפחתה של הפלטפורמה והשירות מושבתת למטרות פיתוח או אם היא עוקפת בהצלחה.
הודעות
- בנוסף לנקודות החולשה באבטחה שמתוארות בעדכון האבטחה הדחוף של Android באוגוסט 2023, עדכון האבטחה הדחוף של Wear OS באוגוסט 2023 מכיל גם תיקונים ספציפיים לנקודות החולשה ב-Wear OS, כפי שמתואר בהמשך.
פרטי נקודת החולשה ברמת תיקון האבטחה 2023-08-01
בקטעים הבאים מפורטים פרטים על כל נקודת החולשה באבטחה שחלה על רמת התיקון 2023-08-01. נקודות החולשה מקובצות לפי הרכיב שבו הן משפיעות. הבעיות מתוארות בטבלאות הבאות, וכוללות את מזהה ה-CVE, מקורות מידע משויכים, סוג נקודת החולשה, מידת החומרה וגרסאות AOSP מעודכנות (אם רלוונטי). כשהדבר אפשרי, אנחנו מקשרים את השינוי הציבורי שטיפל בבעיה למזהה הבאג, כמו רשימת השינויים ב-AOSP. כשיש כמה שינויים שקשורים לבאג אחד, הפניות נוספות מקושרות למספרים שמופיעים אחרי מזהה הבאג. במכשירים עם Android מגרסה 10 ואילך יכולים להגיע עדכוני אבטחה וגם עדכוני מערכת של Google Play.
Framework
נקודת החולשה בקטע הזה עלולה להוביל להסלמת הרשאות (privilege escalation) מקומית ללא צורך בהרשאות הפעלה נוספות. לא נדרשת אינטראקציה של משתמש כדי לנצל את החולשה.| CVE | קובצי עזר | סוג | מידת החומרה | גרסאות AOSP מעודכנות |
|---|---|---|---|---|
| CVE-2023-21229 | A-265431830 | EoP | רחב | 11, 13 |
פלטפורמה
נקודת החולשה בקטע הזה עלולה להוביל לחשיפת מידע מקומי ללא צורך בהרשאות הפעלה נוספות. לא נדרשת אינטראקציה של משתמש כדי לנצל את החולשה.| CVE | קובצי עזר | סוג | מידת החומרה | גרסאות AOSP מעודכנות |
|---|---|---|---|---|
| CVE-2023-21230 | A-191680486 | מזהה | רחב | 11, 13 |
מערכת
נקודת החולשה החמורה ביותר בקטע הזה עלולה להוביל להסלמת הרשאות (privilege escalation) מקומית ללא צורך בהרשאות נוספות להפעלה. לא נדרשת אינטראקציה של משתמש כדי לנצל את החולשה.| CVE | קובצי עזר | סוג | מידת החומרה | גרסאות AOSP מעודכנות |
|---|---|---|---|---|
| CVE-2023-21231 | A-187307530 | EoP | רחב | 13 |
| CVE-2023-21234 | A-260859883 | EoP | רחב | 11, 13 |
| CVE-2023-21235 | A-133761964 | EoP | רחב | 11, 13 |
| CVE-2023-35689 | A-265474852 | EoP | רחב | 11, 13 |
| CVE-2023-21232 | A-267251033 | מזהה | רחב | 11, 13 |
| CVE-2023-21233 | A-261073851 | מזהה | רחב | 11 |
שאלות נפוצות ותשובות
בקטע הזה נענה על שאלות נפוצות שעשויות להתעורר אחרי קריאת העדכון.
1. איך אפשר לדעת אם המכשיר מעודכן כדי לטפל בבעיות האלה?
במאמר לוח הזמנים של עדכוני המכשירים של Google מוסבר איך בודקים את רמת תיקון האבטחה של מכשיר.
- רמות תיקוני האבטחה מ-1 באוגוסט 2023 ואילך מטפלות בכל הבעיות שמשויכות לרמת תיקון האבטחה מ-1 באוגוסט 2023.
במכשירים מסוימים עם Android מגרסה 10 ואילך, למועד של עדכון המערכת של Google Play תהיה מחרוזת תאריך שתתאים לרמה של תיקון האבטחה 01 באוגוסט 2023. במאמר הזה מוסבר איך להתקין עדכוני אבטחה.
2. מה המשמעות של הרשומות בעמודה Type?
הרשומות בעמודה Type בטבלת פרטי נקודת החולשה מתייחסות לסיווג של נקודת החולשה באבטחה.
| קיצור | הגדרה |
|---|---|
| RCE | ביצוע קוד מרחוק |
| EoP | הסלמת הרשאות |
| מזהה | חשיפת מידע |
| DoS | התקפת מניעת שירות (DoS) |
| לא רלוונטי | הסיווג לא זמין |
3. מה המשמעות של הרשומות בעמודה References?
רשומות בעמודה References בטבלת פרטי נקודת החולשה עשויות להכיל קידומת שמזהה את הארגון שאליו שייך ערך ההפניה.
| תחילית | חומרי עזר |
|---|---|
| A- | מזהה הבאג ב-Android |
| QC- | מספר הסימוכין של Qualcomm |
| M- | מספר הסימוכין של MediaTek |
| N- | מספר הסימוכין של NVIDIA |
| B- | מספר הסימוכין של Broadcom |
| U- | מספר סימוכין של UNISOC |
גרסאות
| גרסה | תאריך | הערות |
|---|---|---|
| 1.0 | 7 באוגוסט 2023 | פורסם עדכון |